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CrackMe (RE) 

File: 


$ curl -Ls https://git.io/vdqDo | base64 -d > numbers 


Diberikan sebuah binary 64 bit yang meminta inputan passcode, terlihat pada line 25 
bahwa panjang passcode yaitu 34. Pada pengecekan pertama akan di XOR kiri dan kanan yang 
hasilnya akan dibandingkan dengan nilai di db dword_201020. Selanjutnya bagian kiri di XOR 
dengan 0x45 yang hasilnya akan dibandingkan dengan db dword_201080. Berikut hasil 
decompilenya. 

I 1 _intG4 sub_850() 

2 { 

I 3 int vl; // [sp+4h] [bp-43Ch]@1 
I 4 signed int i; // [sp+4h] [bp-43Ch]@8 
I 5 int v3 ; // [sp+8h] [bp-438h]@1 
I G signed int v4; // [sp+Ch] [bp-434h]@1 
I 7 char dest[17]; // [sp+10h] [bp-430h]@8 
I 8 char v6; // [sp+21h] [bp-41Fh]@8 
I 9 char s [1032] ; // [sp+30h] [bp-410h]@1 
I 10 _intG4 v8; // [sp+438h] [bp-8h]B1 

I 11 

v8 = *MK_FP(_F3_ , 40LL); 

printf( Insert Passcode: ); 

_isoc99_scanf C'^s', s) ; 
vl = 0; 

v3 - strlen(s) - 1; 

117 v4 = 1; 

I 18 while ( vl <= v3 ) 

19 { 

if ( (char)(s[v1] s[v3]) != dword_201O2O [vl ] ) 
v4 = 8; 

++v1 ; 

—v3; 

124 } 

if ( strlen(s) == 34 && v4 ) 

126 { 

mencpy (dest, s, OxlluLL); 
vG = 0; 

for ( i = 0; i <= 1G; ++i ) 

{ 

if ( (char) (dest [i ] A 0x45) != dword 281080[i] ) 
v4 = O; 

133 } 

if ( v4 ) 

{ 

puts ( Correctl") ; 

puts (s); 

} 

139 else 

{ 

puts ( Incorreef ); 

142 } 

43 } 

144 else 

|45 { 

puts ( Incorrect' ); 

I 47 } 

return *MK_FP(_FS_, 40LL) v8; 

143} 


Pertama kita akan buat bagian kiri terlebih dahulu karena lebih mudah. 
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#!/usr/bin/env python 

db2 = [6, OxF, 0x77, 0x75, 0x74, 0x72, 0x3E, 0x22, 0x75, 0x75, 0x21,OxlA, 0x29, 0x30, 0x26, 
0x2E, OxlA] 

# bagian kiri 

left = [d A 0x45 for d in db2] 


Selanjutnya bagian kanan, nilai yang ada pada list 'left' akan di XOR dengan nilai di dbl untuk 
mendapatkan nilai bagian kanan, karena urutannya terbalik maka listnya dibalik dengan [::-1] 


# bagian kanan 

dbl = [0x3E, 0x6B, 0x5E, 

0x5C, 

0x50, 

0x68, 

0x15, 

0x12, 

0x58, 

0x40, 

0x3B, 

0x3A, 

OxlA, 

0x14 

OxOB, 0x34, 0x79] 

dbl = [0x3E, 0x6B, 0x5E, 

0x5C, 

0x50, 

0x68, 

0x15, 

0x12, 

0x58, 

0x40, 

0x3B, 

0x3A, 

OxlA, 

0x14 

OxOB, 0x34, 0x79] 
right = [d A left[i] for 

i, d 

in enumerate(dbl) ] 

[::-l] 








flag = left + right 

print"".join([chr(f) for f in flag]) 
# CJ2017{gOOd_luck_&_have_phun_all!} 





4 


Numbers (RE) 

File: 


$ curl -Ls https://git.io/vdqDo | base64 -d > numbers 


Diberikan sebuah file stripped binary 64 bit, program tersebut meminta 6 angka lalu 
diolah di suatu fungsi, hasil dari fungsi tersebut akan dibandingkan dengan angka 98561, 
1507861, 180346, 22005, 120871, dan 1311561. Untuk memudahkan kita sebut saja fungsinya 
sebagai olahjnt. Berikut hasil decompilernya. 


sub_7B0 (v12) , 
sub_7B0 (v13) , 
sub_7B0(v14), 
sub_7B0(v15), 
sub_7B0(v16), 


v4 

v5 

vG 

v7 

v8 


_isoc99_scanf ("!£d SCd SCd SCd SCd S«d", 

L0DW0RD(v3) = sub_7B0 (v 11 ); 
if ( v3 * = 985G1 

(L0DW0RD(v4) 

(LODWOBD(vS) 

(LODWORD(vG) 

(L0DW0RD(v7) 

(L0DW0RD(v8) 

{ 

puts ("Wrong*' 1 ) ; 

} 

else 

{ 

puts ("Right*' 1 ) ; 

printf ("CJ2017{%d-*d-*d-*d-*d-*d}\n' 

} 

result = 0LL; 


Rvl 1 , &v12, Rv13, Rv14, Rv15); 


15078G1) 

18034G) 

22005) 

120871) 

1311564) 


vll, v12, v13, v14, v15, v16) 


Sebenarnya pada saat lomba kami menyelesaikannya dengan mengimplementasi 
ulang fungsi olahjnt dengan C lalu di bruteforce namun pada writeup ini akan kami coba 
menggunakan Frida. Frida 1 adalah sebuah framework reverse engineering dynamic 
instrumentation, frida dapat hook fungsi pada program yang sedang berjalan. Sebelum kita 
hook fungsi sub_7B0 di program terlebih dahulu kita harus tau alamat fungsi tersebut. Namun 
sayangnya binary yang dikasih terdapat proteksi PIE 2 (Position Independent Executable) 
sehingga alamat fungsi di region .text ikut teracak oleh ASLR (Address Space Layout 
Randomization). Jadi kita tidak bisa langsung hardcode alamat olahjnt di script, harus leak 
base address dulu menggunakan frida yang kemudian dijumlah dengan offset alamat olahjnt. 


1 https://www.frida.re/ 

2 https://en.wikipedia.org/wiki/Position-independent_code 












#!/usr/bin/env python 

import frida 
import sys 


def main(): 

prog = "numbers" 

# attach frida pada proses yang lagi berjalan 
session = frida.attach(prog) 

# dapatkan base address 

for module in session.enumerate_modules(): 
if module.name == prog: 

base = module.base_address 
break 

print("base address: %s" % hex(base)) 

offset = Ox7bO 

olah_int = base + offset 

print("olah_int address: %s" % hex(olah_int)) 


Selanjutnya buat script js untuk bruteforce 


script_src = """ 

check_number = new NativeFunction(ptr("%s"), 'int', 

win_db - [98561, 1507861, 180346, 22005, 120871, 131 
solution = []; 
setTimeout(function () { 

for(i=0; i < win_db.length; i++){ 
for(j=0; j<0xffffffff; j++){ 

if(check_number(j) == win_db[i]){ 

console.log("index", i, "cracked"); 

solution.push(j); 

break; 


console.log(solution.join(" ") ) ; 

f, 0); 


script = session.create_script(script_src % olah_int) 


Didapatkan offset 0x7B0. Base address bisa didapatkan dengan api Frida 
enumerate_modules(). 


. text:ee0eeeeee00e07B0 
. teXt:00000000000007B0 sub_7B0 
. text:00000000000007B0 
. text:00000000000007B0 
. text:00000000000007B0 var_4 
. text:00000000000007B0 
. text:00000000000007B0 
. text:00000000000007B1 
. text:00000000000007B4 
. text:00000000000007B8 
. text:00000000000007BB 
. text:00000000000007BF 
. text:00000000000007C1 
h . text:00000000000007C6 

. text:00000000000007CB ; - 

I . teXt:00000000000007OB_ 


= dword ptr 


proc near 


; CODE XREF: sub_7B0+2Dip 
; sub 7B0 + 661P . . . 


rbp 

rbp, rsp 

rsp, 10h 

[rbp+var 4], edi 
[rbp+var 4] , 
short loc_7CB 
eax, 1 
locret 8B0 


push 

mov 

sub 

nov 


jmp 
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# load script 
script.load() 


Berikut script lengkap Frida untuk bruteforce soal numbers 


#!/usr/bin/env python 

import frida 
import sys 

def main(): 

prog = "numbers" 

# attach frida pada proses yang lagi berjalan 
session = frida.attach(prog) 

# dapatkan base address 

for module in session.enumerate_modules(): 
if module.name == prog: 

base = module.base_address 
break 

print("base address: %s" % hex (base)) 

offset = Ox7bO 

olah_int = base + offset 

print("olah_int address: %s" % hex(olah_int)) 
script_src = """ 

check_number = new NativeFunction(ptr("%s"), 'int 1 , ['int 1 ]); 

win_db = [98561, 1507861, 180346, 22005, 120871, 1311564]; 
solution = []; 
setTimeout(function () { 

for(i=0; i < win_db.length; i++) { 
for(j=0; j<0xffffffff; j+ + ){ 

if(check_number(j) == win_db[i]){ 

console.log("index", i, "cracked"); 

solution.push(j); 

break; 

} 

} 

} 

console.log(solution.join(" ")); 

}, OK- 


script = session.create_script(script_src % olah_int) 

# load script 
script.load() 

try: 

while True: 
pass 

except Keyboardlnterrupt: 
session.detach() 
sys.exit(0) 

if _name_ == '_main_' : 

main () 


Untuk melihat scriptnya berjalan dapat ditonton di asciinema 3 tidak sampai 1 menit flag 
didapatkan. 


3 https://asciinema.Org/a/vZpp8p6vPKHh4NnnqjQFgbDaq 
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$ ./numbers 

5981 91457 10934 1337 7331 79548 
Right! 

CJ2017{5981-91457-10934-1337-7331-79548} 
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Game (RE) 

File: 


$ curl -Ls https://git.io/vdZSY | base64 -d > game 


Diberikan sebuah binary yang merupakan game. Pertama-tama kita terkunci disuatu ruangan, 
terdapat pintu namun kita diminta untuk menemukan kunci terlebih dahulu. 


text: 

90U0U00U0UU018bD^^H 

text: 

000000000000185 

1 key 

text: 

000000000000185 

s 

text: 

000000000000185 

l var 

text: 

000000000000185 

2 

text: 

000000000000185 



text:000000800080135E 
text:0000000000001861 
text:0099000990001865 
text:0009000090001869 
text:0009000090001860 
text:0000000000001870 
text:0000000000001873 
text:0088880888801875 
text:0000000800001373 
text:0080000800001870 
text:008000080080187F 
text:0080000800001881 
text:0000000000081887 
text:0000000800001889 
text:000000080000188B 
text:0880008800081895 
text:0000000800001890 
text:00000008000018AI 


pUD11C 

Key 

proc near 

= qword 

ptr -8 

push 

rbp 

mov 

rbp, rsp 

sub 

rsp, 10h 

mov 

[rbp+var 8], rdi 

mov 

rax, [rbp+var_8] 

mov 

eax, [rax+14h] 

emp 

eax, 5 

jnz 

short loc_18A1 

mov 

rax, [rbp+var_8] 

mov 

eax, [rax+18h] 

emp 

eax, 18 

jnz 

short loc_18A1 

mov 

eax, cs:keyfound 

test 

eax, eax 

jnz 

short loc_18A1 

mov 

cs: keyfound. 

lea 

rdi, aVouFoundThi 

call 

puts 


j CODE XREF: option+18E;p 


"Vou found the key!' 


Terdapat string output "You found the key!" namun kami tidak tahu kapan fungsi itu dipanggil, 
setelah di dereferensi, sepertinya switch case di C sulit dipahami 
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. text 


mov 

rax. 

Irbp+var 18 


. text 

80088888880018CD 

mov 

rdi. 

rax 


. text 

0080000008081800 

call 

shownap 


. text 

0880088000081805 

lea 

rdi. 

aGame 

"\n[GAME]" 

. text 

8000088000001800 

call 

puts 



. text 

00000000080018E1 

lea 

rdi. 

aHHeroStats 

; "(h) Hero Stats" 

. text 

00000000000018E8 

call 

puts 



. text 

00000000080018EO 

lea 

rdi. 

aLLegends 

"(1) Legends" 

. text 

00000000000018F4 

call 

puts 



. text 

00000000000018E3 

lea 

rdi. 

aWMoveUp 

"(w) Move Up" 

. text 

0000000000001900 

call 

puts 



. text 

0000000000001905 

lea 

rdi. 

aDMoveRight 

; "(d) Move Right" 

. text 

OOOOOOOOOOO0190C 

call 

puts 



. text 

0000000000001911 

lea 

rdi. 

aSMoveDown 

"(s) Move Down" 

. text 

0000000000001918 

call 

puts 



. text 

0000000000001910 

lea 

rdi. 

aAMoveLef t 

"(a) Move Lett" 

. text 

0000000000001924 

call 

puts 



. text 

0000000000001923 

lea 

rd i. 

aOExit 

"(O) Exit" 

. text 

0000000000001930 

call 

puts 



. text 

0000000000001935 

mov 

edi. 


c 

. text 

000000000000193A 

call 

putchar 


. text 

000000000000193F 

lea 

rdi. 

aVourOhoice 

O Your Choice: 

. text 

0000000000001946 

mov 

eax. 

0 


. text 

000000000000194B 

call 

printf 


. text 

0000000000001950 

lea 

rax. 

rrbp+var 91 


. text 

0000000000001954 

mov 

rsi. 

rax 


. text 

0000000000001957 

lea 

rdi. 

aO 

; "\n$c" 

. text 

000000000000195E 

mov 

eax. 

0 


. text 

0000000000001963 

call 

isoc99 scant 


. text 

0000000000001968 

movzx 

eax. 

rrbp+var 91 


. text 

000000000000I960 

movsx 

eax. 

al 


. text 

000000000000196F 

sub 

eax. 

30b 


. text 

0000000000001972 

cmp 

eax. 

47h 


. text 

0000000000001975 

j a 

loc 

1A39 


. text 

000000000000197B 

mov 

eax. 

eax 


. text 

000000000000197D 

lea 

rdx. 

ds : O [rax*4] 


. text 

0000000000001985 

lea 

rax. 

dword 2814 


. text 

0000000000001980 

mov 

eax. 

[rdx+rax] 


. text 

000000000000198F 

movsxd 

rdx. 

eax 


. text 

0000000000001992 

lea 

rax. 

dword 2014 


. text 

0000000000001999 

add 

rax. 

rdx 


. text 

000000000000139C 

jmp 

rax 




Ketika didecompile hasilnya hanya seperti ini: 

rtf ■ ,U,, J L“P “"J^ 
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7 

8 

e 


v4 = *MK_FP(_ 
putchar (10); 
showmap (al) ; 


FS 


40LL) 


10 

puts ( 

\n[GAME]") ; 

11 

puts ( 

(h) Hero Stats”) 

12 

puts ( 

(1) Legends'); 

13 

puts ( 

(u) Move Up' ); 

14 

puts ( 

(d) Move Right ) 

15 

puts ( 

(s) Move Down") ; 

16 

puts ( 

(a) Move Left"); 

17 

puts ( 

(B) Exit"); 

18 

putcha 

r ( 10 ); 

19 

printf 

("Vour Choice: " 

20 

isoc99 scanf ( '\n&c". 

21 

vl = v3 - 48; 

22 

if ( vl <= ' G' ) 

23 

JUMPOUT ( CS , dwor 

24 

return 

*MK_FP ( _FS_ , 

25} 




8v3); 


40LL) * v4; 
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ds: [rax*4] 
dword_2014 

[rdx+rax] 

eax 


Ternyata ada command yang tidak ada di petunjuk yaitu V, kita coba masukan 'k' di input 


Inputan kita haruslah <= 'G' + 48 atau <=119 agar program melakukan jump. Karena kita tidak 
tahu command mana yang akan jump ke fungsi key maka kita akan bruteforce dengan gdb 
scripting. Pasang breakpoint di 'jmp rax'. Untuk debug binary dengan PIE sebaiknya matikan 
ASLR agar base address PIE selalu pada 0x555555...4000 


eax, 3 W. 
eax, 47h 
loc_1A39 
eax, eax 


sub 

cmp 

i a 

mov 

lea 

lea 


. text:000000808008I96F 
. text:0808880880081372 
. text:0000000800001975 
. text:000000000008197B 
. text:000000000000197D 
. text:0000000000081985 
. text:000808809888198C 
. text:000000800098198F 
. text:0080080000001992 
. text:0809888808881999 
. text:000O00000000199d 


rdx. 


mov 

movsxd 

lea 

add 

jnp 


dword_2014 

rdx 


rax. 


rax 


import gdb 
import string 

guess = string.ascii_letters + string.digits 
jmp_addr = Oxl99c 


def clean_reg(_str): 

return int(_str.split("\t M )[1].rstrip('\n') , 16) 

gdb.execute('file game') 

gdb.execute('set pagination off') 

gdb.execute('b *0x555555554000 + %s' % (str(jmp_addr))) 
rax diet = [] 


for g in guess: 

if ord(g) <= 119: 

gdb.execute('r < <(echo {})'.format(g), True, True) 
RAX = clean_reg(gdb.execute('i r rax'. True, True)) 
if RAX != 41520074072490295: 
rax_dict.append(g) 

else: 

continue 

print(rax_dict) 





11 


t d / nuvt Ltfl L 

(6) Exit 
Your Choice: k 

Breakpoint 1, 6x000055555555599c in option () 

LEGEND: STACK | HEAP | | DATA | RKX | RODATA 

[ -- 

’RAX «- nov rax, qword ptr [rbp - 0x18] 

RBX 6x0 

*RCX 0xffed 94b6 f f ed 93d 5 

■RDX 0xfffffffffffffa17 
■RDI 6x7fffffffd810 <«- 6x4 

■RSI 0x1 
R8 6x6 

■R9 0xffffffffffffff9B 
*R10 6x6b 
■Rll 0x246 

*R12 xor ebp, ebp 

•R13 0x7fffffffde70 +- 0x1 

R14 0x0 
R15 0x0 

•RBP 0x7fffffffdd50 -► 0x7fffffffdd70 ->■ 0x7fffffffdd90 -* 

•RSP 0x7fffffffdd30 0x2323232323232323 (’########’) 

•RIP «- jnp rax 

[ - 

► 0x55555555599c <option+248> jnp rax 5555553 :_ 2 > 

1 

0x555555555a2b <option+391> nov rax, qword ptr [rbp - 0x18] 

8x555555555a2f <option+395> nov rdi, rax 

0x555555555332 <option+39B> call key <.5555:55 > 

0x555555555337 <option+403> jnp option+406 < > 

i 


Terlihat RAX menuju 0x555555555a2b yaitu case ke pengecekan key artinya command 'k' 
untuk pengecekan key. Setelah dilihat hasil decompile fungsi key 

lint _fastcall key(_int64 al) 

2 { 

3 int result; // eax@1 

4 

5 result = * (al + 20); 

6 if ( result == 5 ) 

7 { 

result = *(a1 + 24); 
if ( result == 18 ) 

{ 

result = keyfound; 
if ( ? keyfound ) 

{ 

keyfound = 1; 

result = putsC'Vou found the key?"); 

16 

17 

18 

| return result; 

20 } 


'H' harus berada pada kordinat 5,18 dari map yaitu posisi pojok kanan bawah untuk 
mendapatkan kunci. 











####. 


#.. 

.#.#.## 

#. .## 

.#.. 

#.. 


#.... 

#... 

.#. 

.# — # 

##... 

. .## 

.#. 

. # 

###.. 

. .#. 


.# — # 

#.. .# 


. .# 

. # 

#.... 

.##. 

#.. 

. # 

#.... 

.#.# 

##. 


#.... 



. ## 


#..##.## — #. .###.# 

#D#####.#. . .# 

# . #..#..###..#.# 

#. . .H.##-#.# 

# - #### - #.#..# 

#################### 

[GAME] 

(h) Hero Stats 
(1) Legends 
(w) Move Up 
(d) Move Right 
(s) Move Down 
(a) Move Left 
(0) Exit 

Your Choice: 

You found the key! 


Setelah berhasil keluar dari pintu kita diminta berburu monster agar levelnya naik, untuk 
memudahkan level naik kami buat script otomatisnya 


#!/usr/bin/env python 

from pwn import * 

p = process('./game') 

def action(act): 

log.info("send: %s", act) 
for a in act: 

p.sendline(a) 
resp = p.recv() 
log.info(resp) 
return resp 

def get_key(): 

action("sd") # pojok 
action("k") 

def door(): 

action("wwaaaawwd") 

def beat(): 

resp = action ('x') 
while "Won!" not in resp: 

resp = action('x') 
action ('3') 

def levelup(num): 

level = 1 
move = ' w' 
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while level != num: 

resp = action(move) 
if "wall” in resp and move == 'w': 
move = 's' 

elif "wall" in resp and move == 's': 
move = 'w' 

if "monster" in resp: 
beat () 
level += 1 

p.interactive() 

def main(): 

get_key() 
door () 

levelup(200) 

if _name_ == "_main_": 

main () 


Setelah menunggu lama hingga level 200 kami mencoba melawan bos yang ada di 'B', ternyata 
kekuatan bosjauh melampaui kekuatan hero 

nxwtmtmmxmmummtw 


####. 

.. .##.# 

nitn _#. 

_ #.# 

##.BH.###_ 

. .#. . .# 

nnnnn...n _ 

.#.##.# 

rnnit . n.. 

.#.#.## 

.n. 

#. .# 

It _ It .ff. 

.. .# 

It# . ##. .#. 

. # 

### _ # . 

.. .# 

#.. .# . # 

. # 

# . ##..#.. 


# . #.#.##. 

.. .# 

# . 

. ## 


# . .##.## _ #. .###.# 

non#### .#., .# 

# . #. .###. .#.# 

. .hj#_#.# 

#.####_#.#. .# 

#################### 

[GAME] 

(h) Hero Stats 
(1) Legends 
(w) Move Up 
(d) Move Right 
(s) Move Down 
(a) Move Left 
(0) Exit 

Your Choice: a 

A monster showed up! Prepare for battle! 


+ Boss 

+ HP: 1060000000/1000000000 


+ Hero+ Level: 203 
+ HP: 228/231 


Options: 

(z) Attack 

(x) Special Move (5096 chance of success) 
.Your Choice: $ B 
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Akhirnya kami mencoba melihat cara alternatif lain, terdapat fungsi mencurigakan di fungsi 
action 


if ( "level > 5 ) 

{ 

v8 = 0; 

for ( i = pos - 1; i >= 0; — i ) 

{ 

vG = convert(hist_r [i ], hist_c [ 1 ]J; 

v2 = v8++; 

if ( tt[v2] » = vG ) 

return "MK_FP(_F3_ , 40LL) * v14; 

v3 = v8; 

if ( v3 >= strlen(tt) ) 

break; 

} 

puts('Cheat Activated ); 

"(level + 12) = 200000O000; 

"(level + 4) = 2000000000; 

"(level + 1G) = 2000000000; 

"(level + 8) = 200O000000; 

} 

return "MK_FP(_FS_ , 40LL) v14; 


Terdapat hist_r dan hist_c , setelah dianalisa setiap pergerakan berikut perubahan nilainya 



hist_r 

hist_c 

a 

0 

-1 

w 

-1 

0 

s 

1 

0 

d 

0 

1 


Terdapat fungsi convert yang merubah gerakan menjadi simbol 



Aktivasi cheat akan terjadi jika gerakannya sesuai dengan 


%%%%&&&$$$$$$$%% AA &&$$%%$$ A $ A $ 
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Atau 

s s s swwwddddddds s aawwdds s ddadad 

Jika dikonversi ke simbol gerak. 

Karena pengecekan dimulai dari gerakan terakhir maka kita harus melakukan gerakan dibalik 

Gerakan: 

dadadds s ddwwaas s dddddddwwws s s s 

Map pergerakan: 
x 

Hxxxx x 

xx x 

xxxxxxxx 
x 

Pada kordinat mana kita dapat melakukan gerakan itu?Jawabannya ada di kordinat (8, 9) 

#################### 

#### . .##.# 

### _ #..#.#_#.# 

##. B . .###. . 

#####. . . #,##.# 

#### . 

# _ # . #. .# _ # 

## . ##. .# . # 

I###__#_# 

.#.# 

■# . ##. .# . # 

# .#.#.##_#, H# 

# .. ## 

_#. .###.# 

. .. 

# . .###. .#.# 

#... H . ##_#. # 

# . #### _ 

#################### 

Berikut scriptnya 

# !/usr/bin/env python 
from pwn import * 


p = process('./game') 
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def action (act) : 

log.info("send: %s", act) 
for a in act: 

p.sendline(a) 
resp = p.recv() 
log.info(resp) 
return resp 

def get_key(): 

action("sd") # pojok 
action("k") 

def door(): 

action("wwaaaawwd") 

def beat () : 

resp = action('x’) 
while "Won!" not in resp: 

resp = action('x') 
action ('3 ’) 

def levelup(num): 

level = 1 

move = 'w' 

while level != num: 

resp = action(move) 
if move == 1 w': 

move = 's' 
elif move == 's': 

move = * w' 

if "monster" in resp: 
beat () 
level += 1 

def goto_cheat(): 

moves = "dddddddwwww" 
for m in moves: 

resp = action(m) 
if "monster" in resp: 
beat() 

def cheat() : 

patt = "dadaddssddwwaassdddddddwwwssss 
for p in patt: 

resp = action(p) 
if "monster" in resp: 
beat () 

def main(): 

get_key() 
door () 
levelup (6) 
goto_cheat() 
cheat () 


p.interactive() 

if _name_ == "_main 

main() 
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(3) Max HP 

Your Choice: 3 

- Hero Stats 

Level: 13 
HP: 42/42 
Attack: 5 
Defense: 5 


Cheat Activated 

#################### 

#### . ##.# 

### _ #. .#.# _ #.# 

#####. . .# . #.##.# 

#### . 

#..##.#...# 

# _ # . #. .# _ # 

## . ##. .# . # 

### _ # . ff _ # 

#. . .# . # . # 

# . ##. ,# . # 

#.#.#.##_#. H# 


Sekarang tinggal menuju Boss untuk dikalahkan 

[*] Switching to interactive mode 

1$ h 

I-Hero Stats- 

Level: 8 

HP: 2000000000/2000000000 
Attack: 2O00000000 
Defense: 2000000000 
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Keygen Redux (RE) 

File: 


$ curl -Ls https://git.io/vdYOB | base64 -d > keygen_redux 


Diberikan sebuah program yang meminta 10 serial number yang valid dan unik.Jika 
serial number yang valid dimasukkan kembali maka program akan mengembalikan "Duplicate" 

v8 = *MK_FP ( _FS_ , 40LL); 

vG = 0; 

puts( Insert 10 valid Serial Number: ); 

v0 = Rbyte_1187 ; 
puts(Rbyte_1187) ; 

for ( i = 8; i <= 9; ++i ) 

{ 

_isoc99_scanf ("&s", Rs); 
if ( subDEG (Rs, vG) ) 

{ 

puts ( Duplicate") ; 

exi t (0); 

} 

if ( tsub_A59(Rs) ) 

{ 

puts( Invalid Serial Number'); 

exi t (0); 

} 

puts ( ’OK") ; 
vl = strlen(Rs); 

qword_202040 [vG] = (char *)malloc(v1 + 5); 
v2 = strlen(Rs); 
v3 = v6++; 

strncpy(qword_202040 [v3], Rs, v2) ; 
puts(Rbyte_1187) ; 
v0 = Rbyte_1187 ; 
puts(Rbyte_1187) ; 

} . 

Terdapat fungsi pengecekan sub_A59 setelah dilihat hasil decompilenya 
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1 

_int64 _ fastcall sub_A59( _ int64 al) 


2{ 



3 

_int64 result; // rax@2 


4 

signed int m 2; // [sp+ICh] [bp-24h]G3 


5 

signed int v3; // [sp+20h] [bp-20h]G1G 


G 

int i; // [sp424h] [bp-1Ch]016 


7 

int k; // [sp+24h] [bp 1Ch](32G 


8 

int j; // [sp+28h] [bp-18h]B17 


9 

int v7; // [sp+28h] [bp 18h]@26 


10 



• 11 

if ( strlen(al) == 15 ) 


12 

{ 


• 13 

v2 = 0; 


• 14 

if ( (*(a1 + 7) + *(a1 + 3) + *(a1 + 11)) * 7 == * (al 4 14) % 7 ) 


• 15 

m2 = 1; 


• 1G 

if ( *a1 < *(a1 4 2) RR *(a1 4 2) < *(a1 4 8) RR *(a1 + 8) < *(a1 4 

12) ) 

• 17 

44v2; 


• 18 

if ( * (al 4 9) - *(a1 4 1) == 10 ) 


• 19 

44v2; 


• 20 

if ( sub_9F0 (* (a 1 4 5)) RR sub 9F0(*(a1 + 13)) ) 


• 21 

44v2; 


• 22 

if ( (*(a1 4 10 ) + *(a1 4 8) 4 *(a1 4 7) 4 *(a1 4 g) 4 *(a1 4 5) 4 

* (al 4 4 ) 4 * (al 4 13)) % 50 == 43 ) 

• 23 

44v2; 


• 24 

v3 = O; 


• 25 

for ( i = 0; i < strlen(al); 44i ) 


26 

{ 


• 27 

for ( j = i 4 1; j < strlen(al); 44j ) 


28 

i l 


• 29 

if ( sub A2B(*(i 4 al), *(j 4 al)) t= 1 ) 


30 

{ 


• 31 

v3 = 1; 


• 32 

break; 


33 

} 


34 

} 


35 

} 


• 3G 

if ( *v3 ) 


• 37 

44v2; 


• 38 

v7 = O; 


• 39 

for ( k = 0; k < strlen(al); 44k ) 


40 

{ 


• 41 

if ( *(k 4 al) > 96 RR «(k 4 al) <= 122 || *(k 4 al) > 64 RR *(k 

4 al) <=90 II *{k 4 al) > 47 RR *(k 4 al) <= 57 ) 

• 42 

44v7; 


43 

} 


• 44 

if ( v7 — strlen(al) ) 


• 45 

44v2; 


• 4G 

result = v2 == 7; 


47 

} 


48 

else 


49 

{ 


• 50 

result = 0LL; 


51 

} 



Terlihat bahwa panjang serial number yaitu 15 (line ke 11) lalu terdapat variable validasi v2 
(line 13) yang nilainya akan bertambah bersamaan dengan pengecekan yang valid. Diakhir 
akan dicek bahwa v2 == 7 (line 46) artinya terdapat 7 pengecekan. Inputan serial kita sebut 
saja serials 

1. serials[7] + serials[3] + serials[11]) % 7 == serials[14] % 7 

2. serials[0] < serials[2] dan serials[2] < serials[8] dan serials[8] < serials[12] 

3. serials[9]-serials[1] == 10 

4. Terdapat fungsi sub_9F0 yang jika dibuka adalah sebuah fungsi primality test 



1 signed _ intG4 _ fastcall sub_9F8(signed int al) 


2{ 




3 

signed int i; // [sp+10h] 

[bp-4h]@1 


4 



• 

5 

for ( i = 2; i « i <= al; 

4+i ) 


6 

{ 

• 

7 

if ( f (al % i) ) 


• 

8 

return OLL; 



9 

} 


• 

10 

return ILL; 


# 

1 } 

1 
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Artinya serials[5] dan serials[13] haruslah bilangan prima. 

5. (serialsfl 0] + serials[8] + serials[7] + serials[6] + serials[5] + serials[4] + 
serials[13]) % 50 == 43 

6. Terdapat sebuah looping pengecekan 2 angka ke suatu fungsi yang 
teridentifikasi adalah fungsi GCD (greatest common divisor) 

I 1 int _ fastcall sub_A2B(signed int al, signed int a2) 

Im 

int result; // eax@2 

I 4 

I > if ( al ) 

result = sub_A2B((a2 % al), al); 

I 7 else 

result = a2; 

I i return result; 

|o) 


Fungsi tersebut dipanggil pada nilai serials yang berpasangan ke samping kanan 
misal, gcd(1,2) gcd(1,3) ■■■ (gcd 2,3) gcd(2,4).. gcd(7,8) gcd(7,9)... 

Hasil dari pengecekan haruslah 1 artinya tidak ada pembagi bersama selain 
nilai 1. 

7. Pengecekan bahwa serials haruslah sesuai dengan persamaan ini 

(serials[i] > 96 dan serials[i] <=122) atau (serials[i] > 64 dan serials[i] <= 90) atau 
(serials[i] > 47 dan serials[i] <= 57) 

Terlihat bahwa ini merupakan problem SMT (Satisfiability modulo theories) yang dapat 
diselesaikan dengan algoritme solvernya salah satunya adalah Z3. 

Namun terdapat pemanggilan fungsi loop (sub_9F0) dan rekursif (sub_A2B) yang tidak bisa 
langsung dijadikan constraint z3. Untuk penyelesaian aturan nomor 4 kita bisa generate 
terlebih dahulu angka prima yang mengikuti aturan nomor 7 kemudian buat contraint untuk 
serials[5] dan serials[13] nilai random dari bilangan prima tadi. 


from z3 import * 
import random 

def is_prime(n): 
if n == 1: 

return False 
factors = 0 

for i in xrange(l, n+1): 
if n % i == 0: 
factors += 1 
if factors == 2: 

return True 
return False 

if_name_ == "_main_" : 

s = Solver () 

serials = [BitVec("ser_%d" % i, 32) for i in range(15)] 

my_primes = [] 

for i in range(122): 
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if ((i > 96 and i <= 122) or (i > 64 and i <= 90) or (i > 47 and i <= 57) ) 
and is_prime(i): 

my_prime s.append(i) 

s.add(serials[5] == random.choice(my_primes)) 
s.add(serials[13] == random.choice(my_primes)) 


Aturan nomor 4 telah selesai, selanjutnya aturan nomor 6. Aturan nomor 6 lumayan sulit 
dipenuhi karena terdapat fungsi rekursif. Kita dapat membuat "linear" aturan ini agar dapat 
dijadikan constraint dengan cara generate angka prima dengan nilai kurang dari kemungkinan 
nilai gcd maksimum. Jika salah satu dari pasangan serials dapat dibagi oleh bilangan prima 
tersebut maka hasil gcd tidak mungkin bernilai 1. Contoh 


gcd(98, 72) = 2 # tidak memenuhi aturan 6 

Kita dapat mengetahuinya dengan cara seperti ini, kita tentukan bilangan primanya adalah 2 

Jika X mod prima == 0 atau Y mod prima == 0 maka hasil gcd(X,Y) tidak mungkin 1 

If 98 % 2 == 0 or 72 % 2 == 0 then False 
>> False 

98 % 2 == 0 # tidak memenuhi aturan 6 maka hasil gcd pasang angka tersebut tidak mungkin 1 


Dapatkan kemungkinan nilai maksimum gcd 


def gcd(a, b): 
if(a) : 

res = gcd((b % a), a) 
else: 

res = b 
return res 

max_gcd = 0 

for i in range(l, 122, 1) : 

for j in range(i+1, 122, 1): 
n = gcd(i, j) 
if n > max_gcd: 
max_gcd = n 
print(max_gcd) 

# » 60 


Didapatkan kemungkinan gcd maksimum yaitu 60, kita akan generate semua bilangan prima 
kurang dari 60, berikut scriptnya 


max_gcd = 0 

for i in range(l, 122, 1) : 

for j in range(i+l, 122, 1): 
n = gcd(i, j) 
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if n > max_gcd: 

max_gcd = n 

# max_gcd = 60 
mod_primes = [] 
for i in range(max_gcd): 
if is_prime(i): 

mod_primes.append(i) 

for i in range(15): 

for j in range(i+l, 15, 1): 

for k in mod_primes: 

s.add(Or(serials[i] % k != 0, serials[j] % k != 0)) 
s.add(serials[i] != serials[j]) 


Aturan 6 telah terpenuhi selanjutnya aturan 1,2, 3, 5, dan 7 yang lumayan mudah 


# aturan 1 

s.add((serials[7] + serials[3] + serials[11]) % 7 == serials[14] % 7) 

# aturan 2 

s.add(And(serials[0] < serials[2], serials[2] < serials [8], serials[8] < serials[12])) 

# aturan 3 

s.add(serials[9] - serials[1] == 10) 

# aturan 5 

s.add((serials[10] + serials[8] + serials[7] + serials[6] + serials[5] + serials[4] + 
serials[13]) % 50 == 43) 

# aturan 7 

for j in range(15): 

s.add(Or(And(serials[j] > 96, serials[j] <=122), And(serials[j] > 64, serialstj] <= 
90), And(serials[j] > 47, serialstj] <= 57))) 


Semua constraint telah dibuat lalu langkah terakhir yaitu menunggu z3 melakukan solving. 
Berikut scriptnya. 


#!/usr/bin/env 

python 

from z3 import 
import random 

* 

def gcd(a, b): 


if(a): 

res = gcd((b % a), a) 

else: 

res = b 

return 

res 

def is prime(n): 

if n == 1: 


return 

False 

factors = 1 

3 

for i in xrange(l, n+1): 

if n % 

i == 0: 

factors += 1 

if factors 

== 2: 

return 

True 

return False 
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if _name_ == "_main_ 

s = Solver () 

serials = [BitVec("ser_%d" % i, 32) for i in range(15)] # definisikan constraint 
variable sebesar 32 bit (4 byte) 
while True: 

my_primes = [] 

for i in range(122): 

if ((i > 96 and i <= 122) or (i > 64 and i <= 90) or (i > 47 and i <= 

57)) and is_prime(i): 

my_primes.append(i) 

s.add(serials[5] == random.choice(my_primes)) 
s.add(serials[13] == random.choice(my_primes)) 

max_gcd = 0 

for i in range(l, 122, 1): 

for j in range(i+l, 122, 1): 
n = gcd(i, j) 
if n > max_gcd: 

max_gcd = n 

# max_gcd = 60 

mod_primes = [] 
for i in range(max_gcd): 
if is_prime(i): 

mod_primes.append(i) 

for i in range(15): 

for j in range(i+l, 15, 1): 

for k in mod_primes: 

s.add(Or(serials[i] % k != 0, serialstj] % k != 0)) 
s.add(serials[i] != serialstj]) 


s.add((serials[7] + serials[3] + serialstll]) % 7 == serials[14] % 7) 
s.add(And(serials[0] < serials[2], serials[2] < serials[8], serials[8] < 

serials[12])) 

s.add(serials[9] - serials [1] == 10) 

s.add((serials[10] + serials[8] + serials[7] + serials[6] + serials[5] + 
serials[4] + serials[13]) % 50 == 43) 
for j in range(15): 

s.add(Or(And(serials[j] > 96, serialstj] <=122), And(serials[j] > 64, 
serials[j] <= 90), And(serials[j] > 47, serials[j] <= 57))) 

if str(s.check()) == "sat": 
model = s.model() 

print "".join([chr(int(str(model[serials[i]]))) for i in range(15)]) 
s.reset () 


Didapatkan keygen yang valid: 


ACEGYkglOMSaRme 

2a5eqSClGk90ygY 

3lARYqlCGSkyOa5 

5kCaSqywsuYOtgG 

5gRlISGeoqaYykU 

5YGLgSOAaclkeCI 

l04USkey9Y5qgGC 

DaGq90sCIkl5Sgy 

OOl5amkG7YgqIeS 

laIYceA5qkmCzgS 
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Picture (Forensics) 

File: 


curl -Ls https://git.io/vdnqC | base64 -d > pictures.7z 


Diberikan file 7zip, lalu diekstrak didapatkan jawara.png. File tersebut tidak memiliki 2 byte 
header pertama, maka kami perbaiki sesuai dengan magic bytes 4 nya. 


jawara.png X 

00000000 00 00 4E 47 0D OA 1A OA 00 00 00 OD 49 48 44 52 00 00 . .NG....IHDR.. 

00000012 03 20 00 00 03 20 08 06 00 00 00 DB 70 06 68 00 00 00 .p.h... 

00000024 09 70 4|8 59 73 00 00 OE C4 00 00 OE C4 01 95 2B OE IB .pHYs.+ . . 


Setelah perbaikan. 


jawara.png X 


00000000 

89 

50 

|4E 

47 

OD 

OA 

1A 

OA 

00 

00 

00 

OD 

49 

48 

44 

52 

00 

00 

.PNG.. 

..IHDR.. 

00000012 

03 

20 

00 

00 

03 

20 

08 

06 

00 

00 

00 

DB 

70 

06 

68 

00 

00 

00 


..p.h... 

00000024 

09 

70 

48 

59 

73 

00 

00 

OE 

C4 

00 

00 

OE 

C4 

01 

95 

2B 

OE 

IB 

.pHYs.. 


00000036 

00 

00 

20 

00 

49 

44 

41 

54 

78 

9C 

EC 

BD 

4B 

AC 

6E 

69 

7A 

IE 

.. .IDATX., 

..K.niz. 

|oOQOOQ48 

F 4 

BC 

DF 

FA 

FF 

7D 

F6 

39 

75 

4E 

55 

77 

55 

AB 

DP 

EE 

76 

DB 

9uNUwU...v. 


Isi dari jawara.png ada gambar ini 


NEXT 



Selanjutnya kami coba binwalk untuk melihat file apa saja yang ada didalam gambar tersebut. 


$ binwalk-e jawara.png 


4 https://en.wikipedia.org/wiki/List_of_file_signatures 
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Didapatkan file .zllib, lalu kami ekstrak didapatkan file jpeg. Header file jpeg diperbaiki dengan 
cara yang sama seperti diatas lalu didapatkan gambar berikut ini: 



Kami strings file jpeg tersebut didapatkan potongan flag lainnya 


$ strings FLAG\ ISsss.jpg | 
flag 1 : {m4rl_ 
flag3:HIJRAH} 


Flag: CJ2017{m4rl_b3333333 333e333r_HIJRAH} 
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RAM (Forensics) 

File: 


https://drive.google.com/open?id=OB_kAnrNjT4xeRDNYSDZObUQwLXM 


Sebenarnya challenge ini dapat diselesaikan dengan strings karena mungkin problem 
setternya belom antisipasi cara ini. 


$ strings memdump.mem | grep CJ2017 
CJ2017{pertama_dan_terakhir} 


Determinasi profile image tersebut dengan volatility 


$ vol.py -f memdump.mem imageinfo 

Volatility Foundation Volatility Framework 2.6 

INFO : volatility.debug : 

Determining profile based on KDBG 

search... 

Suggested Profile (s) : 

: Win7SPlx86 23418, Win7SP0x86, 

Win7SPlx8 6 

AS Layerl : 

: IA32PagedMemory (Kernel AS) 

AS Layer2 : 

: FileAddressSpace 

(/home/hrdn/Documents/rev/ram/memdump.mem) 

PAE type 

No PAE 

DTB 

0x18 5 0 0 0L 

KDBG 

0x82 92 7 c2 8L 

Number of Processors 

1 

Image Type (Service Pack) 

1 

KPCR for CPU 0 

0x82 92 8c00L 

KU S E R_SHARE D_DATA 

OxffdfOOOOL 

Image date and time 

2017-09-22 16:09:43 UTC+0000 

Image local date and time 

2017-09-22 09:09:43 -0700 


Melihat proses yang sedang berjalan 


$ vol.py -f memdump.mem --profile Win7SP1x86_23418 pslist 
Volatility Foundation Volatility Framework 2.6 

Offset(V) Name PID PPID Thds Hnds Sess Wow64 Start Exit 


0x84195020 System 4 0 82 517-- 0 2017-09-23 06:05:23 UTC+0000 










27 


0x847db3c0 smss.exe 
0x84e62530 csrss.exe 
0x84e82530 csrss.exe 
0x84e8a530 wininit.exe 
0x84e96530 winlogon.exe 
0x84f05148 services.exe 
0x84f0a408 lsass.exe 
0x84f0e030 lsm.exe 


248 4 

316 308 
364 356 
372 308 
400 356 
460 372 
468 372 


2 29- 

9 365 

9 293 

3 77 

3 113 

8 192 

6 588 


476 372 10 145 


0 2017-09-23 06:05:24 UTC+0000 
0 0 2017-09-23 06:05:30 UTC+0000 

1 0 2017-09-23 06:05:32 UTC+0000 

0 0 2017-09-23 06:05:32 UTC+0000 

1 0 2017-09-23 06:05:33 UTC+0000 

0 0 2017-09-23 06:05:34 UTC+0000 

D 0 2017-09-23 06:05:34 UTC+0000 
0 0 2017-09-23 06:05:34 UTC+0000 


0x84f2c030 svchost.exe 

568 

460 

10 

362 

0 

0 2017-09-23 06:05:39 UTC+0000 

0x84f41 bl 8 VBoxService.ex 

628 

460 

12 

115 

0 

0 2017-09-23 06:05:40 UTC+0000 

0x847d5278 svchost.exe 

692 

460 

7 

258 

0 

0 2017-09-22 16:05:41 UTC+0000 

0x84f7aa58 svchost.exe 

780 

460 

19 

478 

0 

0 2017-09-22 16:05:42 UTC+0000 

0x84f884f0 svchost.exe 

816 

460 

18 

378 

0 

0 2017-09-22 16:05:42 UTC+0000 

0x84f8dc30 svchost.exe 

840 

460 

36 

997 

0 

0 2017-09-22 16:05:42 UTC+0000 

0x84f9e190 audiodg.exe 

924 

780 

4 

124 

0 

0 2017-09-22 16:05:44 UTC+0000 

0x84fbc030 svchost.exe 

1008 

460 

11 

278 

0 

0 2017-09-22 16:05:46 UTC+0000 

0x84e07030 svchost.exe 

1088 

460 

13 

368 

0 

0 2017-09-22 16:05:47 UTC+0000 

0x84e13b90 spoolsv.exe 

1224 

460 

12 

279 

0 

0 2017-09-22 16:05:50 UTC+0000 

0x84e34b18 svchost.exe 

1276 

460 

17 

316 

0 

0 2017-09-22 16:05:51 UTC+0000 

0x84e8dd40 svchost.exe 

1432 

460 

10 

174 

0 

0 2017-09-22 16:05:53 UTC+0000 

0x84eabb58 taskhost.exe 

1456 

460 

8 

181 

1 

0 2017-09-22 16:05:54 UTC+0000 

0x850a1310 sppsvc.exe 

1912 

460 

4 

144 

0 

0 2017-09-22 16:06:02 UTC+0000 

0x84f7d030 dwm.exe 

1252 

816 

3 

68 

1 

0 2017-09-22 16:06:17 UTC+0000 

0x84851 a48 explorer.exe 

1348 

1108 

31 

925 

1 

0 2017-09-22 16:06:18 UTC+0000 


0x8514e620 VBoxTray.exe 
0x85158690ffl 
0x85196030 Searchlndexer. 
0x851 blacO dllhost.exe 
0x851 f50a0 Search Protocol 
0x8521 e920 netsh.exe 
0x8511d460 
0x8522d6f0 svchost.exe 
0x84e36030 svchost.exe 


0x84273400 
0x8425b638 
0x8502c030 SearchFilterHo 
0x84289b48 WmiPrvSE.exe 


1704 1348 
1716 1348 
584 460 
1340 568 
2092 584 
2208 1716 
2820 1348 
2864 460 
3444 460 
420 1348 
2984 1348 
3304 584 
3512 568 


13 
5 

14 
10 

7 

0 —■ 
10 
7 

13 


150 1 0 2017-09-22 16:06:23 UTC+0000 

145 1 0 2017-09-22 16:06:23 UTC+0000 

663 0 0 2017-09-22 16:06:30 UTC+0000 

258 1 0 2017-09-22 16:06:33 UTC+0000 

322 0 0 2017-09-22 16:06:39 UTC+0000 

— 1 0 2017-09-22 16:06:43 UTC+0000 2017-09-22 16:06:46 UTC+0000 

336 1 0 2017-09-22 16:07:17 UTC+0000 

99 0 0 2017-09-22 16:07:19 UTC+0000 

356 0 0 2017-09-22 16:08:02 UTC+0000 


10 303 1 0 2017-09-22 16:08:49 UTC+0000 

6 294 1 0 2017-09-22 16:08:55 UTC+0000 

5 99 0 0 2017-09-22 16:09:39 UTC+0000 

8 175...74 0 0 2017-09-22 16:10:02 UTC+0000 


Memdump Notepad 


$ vol.py -f memdump.mem 
--dump-dir=dump -p 2984 
$ strings 2984.dmp | grep CJ2017 
CJ2017{pertama_dan_terakhir} 


profile Win7SPlx86 


23418 memdump 


Flag didapatkan 
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Disc Forensic (Forensic) 

File: 


curl -L https://turl.ca/pzpmdn | base64 -d > disc.tar.gz (28 MB) 


Terdapat 2 buah file yaitu file nha-13.vhd dan usbDrive.001. Kita foremost terlebih dahulu file 
usbDrive.001, didapatkan file rar. Namun file rar tersebut tidak bisa dibuka karena corrupt. 
Solusinya tambahkan saja flag "-kb" untuk "keep broken extracted files" 


$ rar -kb e 00000400.rar 


Didapatkan file text seperti ini 


❖^BitLocker Drive EncrypBsyrinc occ 

Ty rinpfc yhat yhps ps yhivyrBstBsyrinc occ,vymraBs yhivstaBtyf 
yhivfyllywig pdinypfickewiyh yhivpdinypfickevaluivdisrlayid yukePC. 

Idinypfick: 

6r35rA87-Br33-4 4 0F-BCE2-117B37 42 4 8r9 

If yhivabyrivpdinypfickematchis yhivivdisrlayid be yukePC yhiusBs 
yhivfyllywig occ tounltLo yuked Dri. 

RBsyrinc Kcc: 

083985-489665-059873-228602-148467-207625-055044-445049 

If yhivabyrivpdinypfickedyisn f tematch yhivivdisrlayid be yukePC 
yhiyhps psn'teyhiv Dght occ tounltLo yuked Dri. 

Tnc anoyhirBsyrinc occvrBsfin 

tohttrs://go.miEnosyft.ym/fwlik/?LikIr=260589vfyr addiypal 
assistanci. 


Sepertinya rusak karena recovery, namun recovery keynya masih terlihat 


083985-489665-059873-228602-148467-207625-055044-445049 

_oad storange nha-13.vhd ke virtualbox 










□ Q % Q % V 
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BitLocker (E:) 


Enter password to unlock this drive. 



Fewer options 

Enter recovery key 


Unlock 


Masukan recovery keynya 
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® BitLocker (E:) 

Enter the 48-diait recovery key to unlock this drive. 

(Key ID: 6D35DA87) 


083985-489665-059873-228602-148467-207625-{>55044-44S049| X 

■nt folders (6) 


Desktop 

Downloads 


Terdapat 4 file rar yang isinya database percakapan whatsapp. Decrypt dengan 
whatcrypt.com. Karena hintnya CJ{62..45} maka cari nomer hape yang sesuai dengan hint 
tersebut. 






